Da staunten die Ärzte in Mecklenburg-Vorpommern nicht schlecht: Ein fünfseitiger „Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung“ lag plötzlich im Briefkasten. Absender: der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. Ähnliche Briefe soll es auch anderswo gegeben haben – ein Versuch der Behörden, sich einen Überblick über die Umsetzung von Maßnahmen zu verschaffen, die für die Europäische Datenschutz-Grundverordnung (DSGVO) relevant sind: „Die Ergebnisse helfen uns, den Beratungsbedarf einzuschätzen“, so die Datenschützer von der Waterkant.
Post wie diese erinnert zumindest daran, dass da etwas im Anrollen ist, das Arztpraxen und andere Einrichtungen des Gesundheitswesens nicht ignorieren können. Die DSGVO trat bereits mit ihrer Veröffentlichung am 25. Mai 2016 im Gesetzblatt der Europäischen Union formal in Kraft. Am 25. Mai 2018 endet die zweijährige Übergangsphase. Danach ist die DSGVO geltendes Recht in allen EU-Mitgliedstaaten.
Darin unterscheiden sich EU-Verordnungen von -Richtlinien, die detailliert in nationales Recht umgesetzt werden müssen. Die DSGVO gilt auch, wenn sie nicht formal umgesetzt wird. In Deutschland gilt das Bundesdatenschutzgesetz in der bisherigen Form ab 25. Mai nicht mehr. Es wird ersetzt durch eine an die EU-Verordnung angepasste Neufassung. Zusätzlich werden sozialrechtliche Vorschriften angepasst – ein Prozess, der sich über den 25. Mai hinaus hinziehen wird.
Deutlich höhere Bußgelder bei Verstößen
Doch was genau bedeutet die DSGVO für Ärzte? In allen Punkten klar ist das wegen teils noch zu überarbeitender sozialrechtlicher Vorschriften noch nicht. Auch sind nationale Präzisierungen vieler DSGVO-Vorgaben nötig. Dennoch: „Die DSGVO sollte für Arztpraxen ein Anlass sein, sich mit dem Datenschutz in der eigenen Einrichtung ein weiteres Mal genau zu befassen. Es macht Sinn, sich dieses Thema jetzt vorzunehmen, um später auf der sicheren Seite zu sein“, empfiehlt Frank Hofmann, Vorstand der MEDIVERBUND AG.
Für dieses Vorgehen sprechen schon allein die hohen Bußgelder. Sah das Bundesdatenschutzgesetz bisher Bußgelder bis maximal 300.000 Euro vor, können künftig bei schweren Delikten – etwa unrechtmäßiger Datenweitergabe – bis zu 20 Millionen Euro bzw., bei großen Unternehmen, bis zu 4 Prozent des Umsatzes verhängt werden. Bei den meisten anderen Verstößen – wenn Compliance-Pflichten nicht eingehalten oder Schutzmaßnahmen nicht umgesetzt werden – sind es bis zu 10 Millionen Euro bzw. bis 2 Prozent des Umsatzes, je nachdem, welcher Betrag höher ist. Dass es dazu bei deutschen Arztpraxen kommt, gilt als praktisch ausgeschlossen, aber immerhin: Theoretisch wäre das denkbar.
Einwilligungen und Betroffenenrechte
Ein wichtiges Themenfeld betrifft Einwilligungen und Betroffenenrechte. Einwilligungen zur Datenverarbeitung gemäß Artikel 7 DSGVO müssen den Zweck klar erkennen lassen. „Insgesamt müssen die Formulare noch detaillierter und verständlicher werden“, betont Carsten Zierau, Leiter IT und Abrechnung der MEDIVERBUND AG. Dass den Datenschützern korrekte Einwilligungen sehr wichtig sind, zeigt sich auch an dem Fragebogen aus Mecklenburg-Vorpommern. Dort wurde explizit gefragt, ob und wie die Einwilligungen angepasst wurden, und sogar um ein Muster gebeten.
Bei den Betroffenenrechten gibt es ebenfalls Neuerungen: Gemäß Artikel 13 und 14 DSGVO werden die Informationspflichten bei der Erhebung personenbezogener Daten ausgeweitet – inklusive Rechtsgrundlage der Datenverarbeitung, voraussichtlicher Dauer der Speicherung und Recht auf Auskunft. Letzteres wird dann in Artikel 15 DSGVO detaillierter beschrieben. Betroffene haben demnach ein Recht auf Auskunft über personenbezogene Daten, die verarbeitet werden, und sie haben das Recht auf Erhalt einer – auch elektronischen – Kopie dieser Daten.
„Das umzusetzen ist nicht zuletzt Aufgabe der Gesundheits-IT-Hersteller“, betont Christoph Isele, der beim Bundesverband Gesundheits-IT (bvitg e.V.) die Arbeitsgruppe Datenschutz & IT-Sicherheit leitet. „Die Krankenhäuser und Arztpraxen müssen die Formate am besten im Dialog mit den Herstellern entwickeln. Die Hersteller müssen die Software anpassen und die Nutzer die Funktionen dann auch bei sich einführen.“
Compliance- und Rechenschaftspflichten
Ebenfalls unmittelbar relevant für Arztpraxen sind die Compliance- und Rechenschaftspflichten. Jede Arztpraxis ist verpflichtet, gemäß Artikel 30 DSGVO ein (schriftliches) Verzeichnis der Verarbeitungstätigkeiten zu führen. Zwar sieht der Artikel 30 diese Pflicht prinzipiell erst bei Einrichtungen ab 250 Mitarbeitern vor. Für Gesundheitsdaten gilt gemäß Artikel 9 DSGVO aber eine Sonderregel.
Auch die Datenschutz-Folgeabschätzung gemäß Artikel 35 ist bei Verarbeitung von Gesundheitsdaten erforderlich, und zwar immer dann, wenn „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht. In diesem Fall muss eine individuelle Abschätzung der Risiken einer Datenverarbeitung erfolgen. Zwingend ist eine solche Folgeabschätzung auch, wenn umfassend Gesundheitsdaten verarbeitet werden. „Das ist eine echte Neuerung und einer der Punkte, bei denen es noch Präzisierungen geben muss“, so Zierau.
Bei der Datenschutz-Folgeabschätzung muss sich der verantwortliche Praxischef gemäß Artikel 35 DSGVO den Rat des Datenschutzbeauftragten einholen, sofern ein solcher benannt wurde. Hier sind die Regeln relativ klar: Das an die DSGVO angepasste Bundesdatenschutzgesetz setzt im § 38 eine Grenze von zehn Personen, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Wer weniger Mitarbeiter hat, braucht bei umfassender Verarbeitung von Gesundheitsdaten ebenfalls einen Datenschutzbeauftragten. Ab welcher Praxisgröße das der Fall ist, muss noch geklärt werden. Wer keinen Datenschutzbeauftragten braucht, muss sich aber trotzdem intensiv um den Datenschutz, wie zum Beispiel das Verzeichnis und die Datenschutz-Folgeabschätzung, kümmern.
Technischer Datenschutz und Meldepflichten
Auf rein technischer Seite müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung erforderlich ist. Das bezieht sich auf die viel diskutierten Grundsätze der „Privacy by Design“ und der „Privacy by Default“, die im Artikel 25 DSGVO niedergelegt sind. „Wie genau das umgesetzt wird, ist einer der Punkte, den wir im Dialog mit den Regulierungsbehörden derzeit noch zu präzisieren versuchen“, betont Isele.
Was auf jeden Fall kommt und von Ärzten zu berücksichtigen ist, ist eine strenge Meldepflicht nach Artikel 33 DSGVO. „Wer eine Datenpanne erleidet, etwa einen Laptop verliert, der ist verpflichtet, das der Aufsichtsbehörde zu melden“, so Zierau. Die Meldung sollte unverzüglich bzw. innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Wer später meldet, muss das begründen.
Personen, deren Daten betroffen sind, müssen gemäß Artikel 34 DSGVO dann benachrichtigt werden, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ zur Folge hat. Nicht erforderlich ist eine Information der Betroffenen, wenn die Daten adäquat verschlüsselt waren, wenn kein hohes Risiko besteht oder wenn der Aufwand unverhältnismäßig wäre.
Viele Details stehen noch nicht
Insgesamt liefert die DSGVO auch Niedergelassenen einen Grund, sich mit dem Datenschutz in ihrer Praxis eingehend zu beschäftigen. Anlass für panischen Aktionismus sieht Zierau aber nicht, zumal viele Details noch nicht ganz klar sind. Präzisierungen durch die Aufsichtsbehörden stehen noch aus, genauso wie eine Überarbeitung vieler sozialrechtlicher Rahmenbedingungen. So wurden SGB I und SGB X bereits angepasst, nicht jedoch das SGB V.
Tatsache ist: Das deutsche Datenschutzrecht war bisher eines der strengsten in Europa. Mit vielen Regelungen, die jetzt in der DSGVO stehen, passt sich Europa letztlich den in Deutschland bereits geltenden Standards an. „Ärzten, die die deutsche Datenschutzgesetzgebung bisher schon ernst genommen haben, dürfte der Übergang in die DSGVO deswegen relativ leichtfallen“, so Zierau. Philipp Grätzel
